パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「連打」で不正に引き出せる不具合を使って仮想通貨「モナコイン」を詐取した少年が書類送検される」記事へのコメント

  • by Anonymous Coward

    https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html [asahi.com]
    欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。

    これ単にモナコイン側にトランザクション処理が実装されてなかったレベルの話なの?
    ウソだろ?

    • Re: (スコア:4, 参考になる)

      by Anonymous Coward

      https://medium.com/@IndieSquare/monappy%E3%81%AB%E3%81%8A%E3%81%91%E3%... [medium.com]
      MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
      ~略~
      通信を受け取ったmonacoindの応答に時間がかかり、サイト(Monappy)側ではタイムアウトとなっ

      • by Anonymous Coward

        仮想通貨の安全性とかの次元の話でも何でもなく、MonappyのシステムがCGI時代の掲示板並みの実装だっただけだね。

        • by Anonymous Coward on 2019年03月15日 23時28分 (#3581961)

          > CGI時代の掲示板並み

          いや、時代関係なく、開発がショボいだけでしょ。

          エラー時の処理が実装されていないわ、そのケースのテストもしていないって事だから。
          普通、タイムアウト時のテストケースなんて、漏れるわけないんだけどね。

          #と言っても、試験結果報告書でokになっていても、再確認したらngってパターンもあるからな。(「君は何を確認したんだよ。」って言いたくなることが多々あって泣けてくる)

          親コメント
          • by Anonymous Coward

            テストケースがどうとか試験結果報告書がどうとか、そういうちゃんとした作りどころか
            最低限のデバッグもろくにしてなかったんじゃないのかなってレベル

          • by Anonymous Coward

            タイムアウトの処理自体あって、それが送金サーバーのダウンを想定されたもので、
            それで送金されずに、残高減ってしまわないエラー処理は入っているわけで、
            連打ぐらいで遅延が発生して、それがタイムアウトにまでなるということを想定してなかったということです。

人生unstable -- あるハッカー

処理中...